För några timmar sedan a säkerhetsfel i VLC vilket är markerat med 9.8 av 10 på faroskalan. Det "kritiska misslyckandet" har upptäckts av CERT-Bund och publicerats av WinFuture (på tyska), där de beskriver en sårbarhet som möjliggör fjärrkörning av kod, vilket kan göra det möjligt för en fjärransluten skadlig användare att installera, modifiera eller köra kod utan att vi märker eller ens får åtkomst till filer på vårt system. Det har också spridits av Mitre.
De berörda versionerna skulle vara de av Linux, Windows och Unix, där macOS är säkert, allt enligt WinFuture och resten av källorna som har spridit denna information. Den goda nyheten är att ingen har utnyttjat sårbarheten, vilket tillsammans med VideoLan-versionen gör att vi undrar om allt detta är verkligt eller falskt alarm. Men sanningen är att VideoLan-versionen, eller en tredje part som sa att de hade skapat en 60% patch, ger oss mer tvivel om vad som händer.
Inte ett VLC-fel
Har du ens kollat det här?
Ingen kan återge denna fråga här.- VideoLAN (@videolan) Juli 23, 2019
Har du ens kollat detta? Ingen kan reproducera denna fråga här »
Vid tidpunkten för detta skrivande verkar VideoLan mycket upprörd över vad CVE och Mitre har gjort. Först de klagar att de inte har varit i kontakt med dem alls i flera år och nu publicerar de detta beslut utan att berätta något för dem. Då säger de det inte en VLC-fel, men från ett tredjepartsbibliotek relaterat till MKV-filer, som har korrigerats i flera månader:
Om "säkerhetsfrågan" den #VLC : VLC är inte sårbart.
tl; dr: problemet finns i ett tredjepartsbibliotek, kallat libebml, som fixades för mer än 3 månader sedan.
VLC eftersom version 3.0.3 har skickat rätt version, och @MITREcorp kontrollerade inte ens deras anspråk.Tråd:
- VideoLAN (@videolan) Juli 24, 2019
"Om" säkerhetsfelet "i #VLC": VLC är inte sårbart. tl; dr: buggen finns i ett tredjepartsbibliotek, kallat libebml, som fixades för mer än 16 månader sedan. VLC levererar rätt version sedan 3.0.3, och Mitre kontrollerade inte ens vad han har publicerat »
Ett mycket svårt fel att utnyttja
Företaget som utvecklar en av de mest populära spelarna på planeten har också ett annat klagomål: hur är det möjligt att ett problem som inte kan utnyttjas har uppnått 9.8 av 10 på farlighetsskalan? De säger också att det i värsta fall är omöjligt att stjäla data från datorn eller köra fjärrkod, det allvarligaste orsakar en "krasch" i operativsystemet.
VideoLan har redan använts en lapp som löser en misslyckande att de säger att det inte längre finns på din spelare. De försäkrar att det har korrigerats sedan VLC v3.0.3, men för bara några minuter sedan markerade de den korrigeringen som "stängd". Sanningen är att 3.0.3 verkar som den berörda versionen. Som om det inte var tillräckligt har NIST modifierats inträde om denna sårbarhet som säger att «Denna sårbarhet har ändrats sedan den senast analyserades av NVD. Du väntar på en ny analys som kan leda till nya förändringar i informationen", vilket innebär att de första analyserna är inte korrekta.
Vissa säger att det är superfarligt att använda VLC, det har till och med rekommenderats att avinstallera det, andra säger att du måste kontrollera vad som publiceras och att felet inte finns, andra ändrar sina ursprungliga artiklar ... Det enda säkra är att jag inte avinstallerar VLC.